依預設,具有 vCenter Server 管理員角色的使用者可與虛擬機器客體作業系統內的檔案和應用程式進行互動。若要降低破壞客體機密性、可用性或完整性的風險,請建立沒有客體作業權限的非客體存取角色。將該角色指派給不需要虛擬機器檔案存取的管理員。

執行這項作業的原因和時機

出於安全性考慮,請嚴格限制對虛擬資料中心的存取,嚴格程度與限制對實體資料中心的存取相同。將停用客體存取的自訂角色套用至需要管理員權限但未授權與客體作業系統檔案和應用程式進行互動的使用者。

例如,某個組態可能在基礎結構中包括虛擬機器,該基礎結構帶有敏感資訊。

如果工作 (例如使用 vMotion 的移轉) 需要資料中心管理員可以存取虛擬機器,則停用一些遠端客體作業系統作業可確保這些管理員無法存取敏感資訊。

先決條件

確認您在將建立角色的 vCenter Server 系統擁有管理員權限。

程序

  1. 以使用者身分登入 vSphere Web Client,該使用者在將建立角色的 vCenter Server 系統擁有管理員權限。
  2. 按一下管理,然後選取角色
  3. 按一下建立角色動作圖示,然後輸入角色的名稱。

    例如,輸入無客體存取權限的管理員

  4. 選取所有權限
  5. 取消選取所有權限 > 虛擬機器 > 客體作業,從而移除一組客體作業權限。
  6. 按一下確定

下一步

選取 vCenter Server 系統或主機,並指派可將應具有新權限的使用者或群組與新建立的角色進行配對的權限。從管理員角色中移除這些使用者。